View a markdown version of this page

Lösung 1: VPC-Endpunkte in einem zentralen Netzwerkkonto für eine einzelne Region erstellen - AWS Präskriptive Leitlinien
AnwendungsfallHerausforderungenLösungArchitekturImplementierungsschritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lösung 1: VPC-Endpunkte in einem zentralen Netzwerkkonto für eine einzelne Region erstellen

Anwendungsfall

Ihre Anwendungen sind verschiedenen Geschäftsbereichen zugeordnet, und Sie möchten sie zu Abrechnungs- und AWS-Region Isolierungszwecken auf verschiedene AWS Zielkonten gleichzeitig migrieren.

Herausforderungen

Um dies über ein privates Netzwerk zu erreichen, müssten Sie in jedem Zielkonto mehrere VPC-Schnittstellenendpunkte erstellen. Dies erhöht den Verwaltungsaufwand und die Kosten für die Wartung der Endgeräte. (Siehe AWS PrivateLink Preise.)

Lösung

Erstellen Sie VPC-Endpunkte in einem zentralen AWS Netzwerkkonto und verwenden Sie Transit Gateway, um eine Verbindung zu Zielanwendungskonten herzustellen.

Architektur

Das folgende Diagramm veranschaulicht die Architektur dieser Lösung.

Verkehrsfluss beim Rehosten mehrerer Konten in derselben Region.

Im Diagramm stellen die Zahlen den folgenden Verkehrsfluss dar:

  1. Die Amazon Elastic Compute Cloud (Amazon EC2) -Instance oder der Application Migration Service-Replikationsserver, der eine Verbindung zu Amazon Simple Storage Service (Amazon S3), Application Migration Service oder Amazon EC2 über einen Schnittstellenendpunkt herstellen muss, der sich in der zentralen Netzwerkkonto-VPC befindet, muss zunächst den Domainnamen auflösen, indem sie den VPC+2-Resolver abfragt. Die private gehostete Endpunktzone ist dem Application Migration Service zugeordnet, der die VPC in derselben Region bereitstellt, um die Domänenauflösung abzuschließen.

    Anmerkung

    Für jede private gehostete Zone, die Sie einer VPC zuordnen, erstellt der Resolver eine Regel und ordnet sie der VPC zu. Wenn Sie die private gehostete Zone mehreren zuordnen VPCs, ordnet der Resolver die Regel allen zu. VPCs

  2. Wenn die Instance die private IP kennt, mit der sie eine Verbindung herstellen soll, sendet sie den Datenverkehr an das Transit-Gateway ENI. Der Verkehr wird an das Transit-Gateway gesendet und auf der Grundlage der Transit-Gateway-Routentabelle an die gemeinsam genutzte Ressourcen-VPC weitergeleitet.

  3. Das Transit-Gateway ENI in der gemeinsam genutzten Ressource VPC leitet den Verkehr an den entsprechenden Schnittstellenendpunkt weiter.

  4. Der VPC-Endpunkt sendet die Antwort zurück an das Transit-Gateway ENI.

  5. Der Verkehr wird an das Transit-Gateway weitergeleitet. Wie in der Routentabelle des Transit-Gateways angegeben, wird der Datenverkehr an die Spoke-Staging-VPC des Application Migration Service gesendet. Die Antwort wird vom Transit-Gateway ENI an das Ziel gesendet, d. h. an die EC2-Instance oder den Replikationsserver des Application Migration Service.

  6. Eine Client-Anwendung, die sich im Rechenzentrum des Unternehmens befindet, löst einen Domainnamen in der folgenden Form auf <aws_service>.<aws_region>.amazonaws.com (z. B.mgn.us-east-1.amazonaws.com). Sie sendet die Anfrage an ihren vorkonfigurierten DNS-Resolver. Der DNS-Resolver im Unternehmensrechenzentrum verfügt über eine Weiterleitungsregel, die jede DNS-Abfrage für amazonaws.com Domänen an den eingehenden Route 53 Resolver-Endpunkt weiterleitet. Transit Gateway leitet die Anfrage an die gemeinsam genutzte Ressourcen-VPC weiter, die die DNS-Abfrage an den eingehenden Route 53 Resolver-Endpunkt weiterleitet.

    Der eingehende Route 53 Resolver-Endpunkt verwendet den VPC+2-Resolver. Die private gehostete Endpunktzone, die der gemeinsam genutzten Ressource VPC zugeordnet ist, enthält die DNS-Einträge füramazonaws.com, sodass Route 53 Resolver die Abfrage auflösen kann.

  7. Der ausgehende Route 53 Resolver-Endpunkt gibt die Antwort auf die DNS-Anfrage an die lokale Client-Anwendung zurück.

Implementierungsschritte

Gehen Sie wie folgt vor, um die im vorherigen Diagramm gezeigte Architektur einzurichten:

  1. Connect Sie Ihr Unternehmensrechenzentrum AWS über AWS Direct Connect oder mit dem zentralen Netzwerkkonto AWS Site-to-Site VPN.

  2. Verwenden Sie im Netzwerkkonto Transit Gateway, um Konnektivität zwischen herzustellen VPCs. Das Transit-Gateway wird gemeinsam AWS-Konten genutzt und über AWS RAM einen VPC-Anhang weiter mit dem Staging-Subnetz des Zielanwendungskontos verbunden.

    Anmerkung

    Target muss AWS-Konten nicht Teil derselben Organisation sein. AWS Weitere Informationen finden Sie in der AWS RAM Dokumentation unter Gemeinsam nutzbare Ressourcen.

  3. Erstellen Sie VPC-Schnittstellenendpunkte für Amazon EC2, Application Migration Service und Amazon S3 im zentralen Netzwerkkonto, ohne einen privaten DNS-Namen zu aktivieren.

    Anmerkung

    Wenn Sie einen VPC-Endpunkt für einen erstellen AWS-Service, können Sie privates DNS aktivieren. Wenn diese Einstellung aktiviert ist, erstellt sie eine verwaltete private, gehostete Route 53-Zone für Sie. Diese verwaltete Zone löst den DNS-Namen innerhalb einer VPC auf. Außerhalb der VPC funktioniert es jedoch nicht. Aus diesem Grund werden private Hosted Zone Sharing und Route 53 Resolver verwendet, um eine einheitliche Namensauflösung für gemeinsam genutzte VPC-Endpunkte zu erreichen.

  4. Erstellen Sie eine private gehostete Zone für jeden Endpunkt (Application Migration Service, Amazon EC2, Amazon S3). Zum Beispiel für den Application Migration Service in der us-east-1 Region:

    • Erstellen Sie eine private gehostete Zone mit dem Domainnamenmgn.us-east-1.amazonaws.com.

    • Erstellen Sie einen Hosteintrag vom Typ A, der den Domainnamen auf den Endpunkt verweist IPs.

  5. Erstellen Sie Regeln für eingehenden und ausgehenden Route 53-Resolver, um die Hybrid-DNS-Auflösung zu erleichtern, und teilen Sie die Regeln mit den AWS-Konto in derselben Region erforderlichen Personen.